Digital Privacy und Datenschutz. Die Datenschutzgrundverordnung

Inhaltsverzeichnis

Inhaltsverzeichnis

Abkürzungsverzeichnis

1 Einleitung

2 Überblick der Europäischen Datenschutzgrundverordnung

3 Änderungen und Auswirkungen
3.1 Die Grundprinzipien als Herausforderung
3.2 DieräumlicheAnwendung
3.3 Strafen und Rechte der DSGVO
3.4 Auswirkungen für bestehende Geschäftsmodelle

4 FazitundAusblick

Literaturverzeichnis

Aus urheberrechtlichen Gründen wurden alle Abbildungen entfernt. (Anm. d. Red.)

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Einleitung

Immer häufiger wird im Rahmen der Entwicklung von Wissenschaft und Wirtschaft das Wort „Big Data“ genannt (vgl. Wang, Wan, Zhang (2016) S.l ff.). Big Data ermöglicht eine ansteigende, ungeordnete, riesige und komplexe Auswahl von Daten zu erfassen, zu aggre­gieren und zu verarbeiten ( Kata, Wazid, Goudar (2013) S. 404). Diese Technologie soll einer der Grundbausteine für die Implementierung der vierten industriellen Revolution sein (vgl. Wang, Wan, Zhang (2016) S. 1 ff.)). In diesem Kontext haben besonders Business Intelligence und Analytics für Unternehmen einen großen wirtschaftlichen Stellenwert. Grundsätzlich analysieren BI&A Geschäftsdaten und helfen einem Unternehmen den Markt effizient zu nutzen. Zusätzlich umfasst BI&A geschäftsorientierte Praktiken und Methoden, die Anwendung im E-Commerce, Marktintelligenz, E-Government, Gesundheitswesen und Sicherheit finden (vgl. Cheng, Chiang, Story (2012) S. 1069 ff.). Viele erfolgreiche Unter­nehmen, wie z. B Google, Netflix, Amazon und Facebook, basieren regelrecht auf BI&A. (vgl. Cheng, Chiang, Story (2012) S. 1067 ff.) So hat beispielsweise Facebook, bereits im Jahre 2011, 82% seines Umsatzes durch zielgerichtete Werbung eingenommen, (vgl. Kleinz (2012) S. 82f.).

BI&A veranlagt Unternehmen Daten zu erheben und zu speichern, Zusammenhänge und richtige Prognosen über ihre Kunden zu erstellen, (vgl. Jöns (2016) S. 16 f.) Sie fertigen eine digitale Identität ihrer Kunden an. Der Wert der digitalen Identität ist enorm. Prognosen zufolge soll er ein massives Wachstum vorantreiben und bis 2020 auf 8% des BIP der EU- 27 steigen (vgl. Rose, Rehse, Röbel (2012) S. 101).

Unter Datenschutz versteht man den Wunsch des Einzelnen, Daten über sich selbst zu kon­trollieren oder auf diese Einfluss zu nehmen (vgl. Bèlanger, Crossler (2011) S. 1) Genau in dem fühlt sich mittlerweilejeder zweite Bürger der Europäischen Union im Internet bedroht (vgl. o. V. Europäische Kommission (2015) S. 1). Sie sehen sich Datensammlungsverfahren ausgesetzt und ihre Bereitschaft persönliche Daten online zu teilen sinkt. Um das zu verhin­dern und das Grundrecht der europäischen Bürger zu schützen, treten nun die Europäischen Datenschutzgrundsätze in Kraft (vgl. o. V. Europäische Kommission (2015) S. 1).

Welche Herausforderungen, Änderungen und Auswirkungen dies für die Unternehmen be­deutet, soll in den folgenden Textabschnitten im Wesentlichen untersucht werden. Um dem Leser ein Grundverständnis über die Thematik zu vermitteln, wird die Europäische Daten­schutz-Grundverordnung zuerst vorgestellt. Darauf aufbauend sollen, mithilfe von Fachlite­ratur, Antworten im Hinblick auf die Änderungen für Unternehmen gefunden werden. In den letzten Kapiteln erfolgt ein Ausblick über die Europäischen Grundverordnung sowie ein abschließendes Fazit.

2 Überblick der Europäischen-Datenschutz-Grundverordnung:

Die aktuellen Anforderungen an den Datenschutz haben sich seit der Datenschutzrichtlinie 95/46/EG erheblich verändert. Grund dafür ist der technische Fortschritt (vgl. EG.6 DSGVO). So hat:,, Das Ausmaß der Erhebung und Austausches personenbezogener Daten eindrucksvoll zugenommen“ (vgl. EG.6 DSGVO). Als Aktualisierung wurde von der Euro­päischen Union und dem Europäischem Parlament am 04.05.2016 die neue EU- Datenschutz-Grundverordnung veröffentlicht (vgl. Wytbul (2016) S. 5 ff.) Nach dem In­krafttreten am 24.05.2016 und einer Umsetzungszeit von 2 Jahren, gilt die Verordnung ab dem 25.05.2018 für alle Mitgliedsstaaten und löst bisherige nationale Regelungen auf (vgl. Wytbul (2016) S. 5 ff.).

Die EU-DSGVO besteht aus 99 Artikeln, die sich in elfKapiteln gliedern. Unterteilen kann man die Artikel in materielle, organisatorische sowie formelle Regeln (vgl. Roßnagel, Rich­ter, Geminn et al. (2016) S. 156). Zusätzlich sind, als Legitimation des Gesetzgebers, 173 Erwägungsgründe angegeben (vgl. Rohrlich (2018) S. 20). Diese sollen als Auslegungshilfe dienen und sind für ein Verständnis der Verordnung unerlässlich.

Das Ziel der EU-DGSVO ist die Grundrechte und Grundfreiheiten natürlicher Personen bei der Datenverarbeitung zu schützen, (vgl. EG.3 DSGVO). Explizit bedeutet dies die Regu­lierung der Verarbeitungen von personenbezogenen Daten, die digital und automatisiert er­fasst werden (vgl. Art.2 DSGVO). „Es wird ein solider, kohärenter und klar durchsetzbarefr] Rechtsrahmen [..] benötigt“ (vgl. EG.7 DSGVO). Der Schutz der personenbezogenen Daten soll gewährleistet werden, jedoch keineswegs der freie Verkehr innerhalb Europas einge­schränkt noch verboten werden. (vgl. Art.l DSGVO). Allgemein sind Wirtschaftsteilnehmer sowie kleine und mittlere Unternehmen betroffen, ausgeschlossen sind Unternehmen mit weniger als 250 Mitarbeiter (vgl. EG.78 DSGVO). Weiterhin ist die Anwendung auf Behör­den, die dem Wohle der Allgemeinheit dienen, ebenfalls ausgeschlossen (vgl. EG 16, 19 DSGVO). Die wesentlichen inhaltlichen Schwerpunkte der neuen Datenschutzgrundverord­nung werden im dritten Kapitel ausführlich dargelegt.

Von zentraler Bedeutung für die Auslegung der DSGVO ist die Definition für personenbe­zogene Daten. Artikel 4 Abs.l bezeichnet personenbezogene Informationen als Informatio­nen, die sich einer bestimmten oder bestimmbaren natürlichen Person zuordnen lassen (vgl. Art.4 Abs.l DSGVO). Als bestimmbar gilt derjenige, der direkt beziehungsweise indirekt identifiziert werden kann (vgl.Art.4 Abs.l DSGVO). Häufig geschieht die Identifizierung mitZuordnung einerKennung (vgl. Art. 4 Abs.l DSGVO). Kennungen sindbeispielsweise „Namen, Kennnummer, Standortdaten, Onlinekennungen [...]“ oder andere Merkmale, die zur sozialen, kulturellen oder wirtschaftlichen Identität beitragen (vgl. Art. 4 Abs.l DSGVO) Im Hinblick auf das besondere Risiko, das durch das Internet hervorgeht, beziehen -3 - sich Onlinekennungen auf IP-Adressen, Cookies oder sonstige Kennungen (wie Funkfre­quenzkennzeichnungen), die durch Endgeräte, Software oder Protokolle entstehen (vgl. EG.9, EG.30 DSGVO). In Artikel 4 Absatz 4 wird jede Form der automatisierten Verwer­tung personenbezogener Daten, insbesondere die Analyse und Vorhersage bestimmter per­sönliche Eigenschaften, die sich auf eine natürliche Person beziehen, als Profilerstellung charakterisiert (vgl. Art. 4 Abs.4 DSGVO). Diese Profilerstellung ist maßgebend für ein Un­ternehmen und steuert den wirtschaftlichen Erfolg.

3 Änderungen und Auswirkungen

3.1 Die Grundprinzipen als Herausforderung der DSGVO

Die Kenntnis der Grundprinzipien ist für die Anwendungder Grundverordnung unverzicht­bar. Der Verantwortliche¹ muss bei der Datenverarbeitung personenbezogener Daten alle Grundsätze erfüllen (vgl. Art. 5 DSGVO). Der folgende Textabschnitt soll dem Leser einen Überblick über den Inhalt vermitteln, der das Verhalten von Unternehmen unmittelbar steu­ert. Des Weiteren werden resultierende Herausforderungen und Änderungen dargestellt.

Einer der Grundprinzipien der DSGVO ist die Rechtmäßigkeit. Diese ist bei der Erhebung von personenbezogenen Daten erfüllt, wenn eine Einwilligung der betroffenen Person be­ziehungsweise ein zulässiger Erlaubnistatbestand vorliegt, (vgl. Art. 5 Abs.l, Art. 6, Art. 9 DSGVO). Die Einwilligung muss beweisbar sein und der ,, Widerruf [...] muss so einfach wie die Erteilung der Einwilligung sein [...]“ (vgl. EG.32 DSGVO). Es muss ein eindeutiges Signal für die Einwilligung vorliegen, demensprechend gilt Stillschweigen als keine recht­mäßige Einwilligung (vgl. EG.32 DSGVO). Eine neue Anforderung ist das Mindestalter für eine wirksame Einwilligungserklärung, hierbei muss die betroffene Person ohne Zustim­mung der Eltern mindestens 16 Jahre alt sein (vgl. Art. 8 DSGVO). Eine nationale Regelung kann die Altersgrenze auf 13 Jahren senken (vgl. Art. 8 DSGVO). Weitere Grundsätze er­örtern, dass die Datenbearbeitung nach Treu und Glauben erfolgen sollte, sowie Transparenz für die betroffene Person schaffen muss (vgl. Art. 5 Abs.l DGSVO). Die Zweckbindung besagt, dass personenbezogene Daten nur für den festgelegten, eindeutigen und rechtmäßig erhobenen Zweck verwendet werden dürfen.(vgl. Art. 5 Abs.lb DSGVO) Ausnahmen wer­den in Artikel 6 Absatz 4 DGSVO geregelt (vgl. Art. 6 Abs.4 DGSVO) . Dementsprechend benötigen mehrere Zwecke der Datenbearbeitung ebenso mehrere Einwilligungserklärungen (vgl. EG 32 DSGVO) Zugleich darf nur mit soviel Informationen gearbeitet werden, die zur Datenverarbeitung erforderlich sind. (vgl. Art. 5 Abs.lc DGSVO). Dies basiert auf dem Grundprinzip der Datenminimierung. Der Richtigkeitsgrundsatz erwähnt, dass falsche per­sönliche Daten unverzüglich zu löschen oder zu aktualisieren sind (vgl. Art. 5 Absld DGSVO). Der Zeitraum der Datenspeicherung ist begrenzt. So dürfen Unternehmen nur in dem Zeitraum speichern, der für die Verwirklichung der verfolgten Zwecke erforderlich ist (vgl. Art. 5 Abs.l e). Integrität und Vertraulichkeit nimmt Bezug auf die Sicherheit der Daten (vgl. Art. 5 Abs. lf). Der Verantwortliche und der Auftragsverarbeiter² treffen geeignete technische und organisatorische Handlungen, um die Erhaltung der Daten vor Unbefugten zu gewährleisten (vgl. Art. 32 DGSVO, vgl. Art. 5 Abs.lf DSGVO). Das letzte Grundprinzip ist die Rechenschaftspflicht (vgl. Art. 5 Abs.2 DSGVO). Sie stellt eine der neuen Prinzipien dar und gewährleistet die Einhaltung der Verordnung durch die Beteiligten der Datenverar­beitung.

Die umfangreicheren Prinzipien führen zu strengeren Regeln und neuen Pflichten, wie Or­ganisationen weltweit Daten sammeln, verwalten und verarbeiten. Erweiterte Dokumentati- ons- und Nachweispflichten für Verantwortliche und Auftragsverarbeiter sind die Folge (vgl. Wytbul(2016) S. 32). Des Weiteren ist Greengard der Meinung, dass mehr Fachwissen und entsprechendes Personal benötigt wird (vgl. Greengard (2018) S. 18). Durch Artikel 35 muss zusätzlich eine Folgeabschätzung³ der Verarbeitungsvorgänge nach vorgegeben Richt­linien erfolgen (vgl. Art. 35 DSGVO). Somit stehen Unternehmen vor zusätzlichen Compli- ance-Herausforderungen⁴ (vgl. Greengard (2018) S. 18). So gestaltet sich in der Finanzin­dustrie eine Vermögenskontrolle innerhalb eines Unternehmens schwieriger als zuvor, die spätestens seit der Bankenkrise an großer Bedeutung gewonnen hat (vgl. Klein (2018) S. 25 f.) DSGVO). Zusätzlich ist die Einhaltung der DSGVO mit hohen Kosten verbunden, die durch höhere bürokratische Aufwendungen zustande kommen (vgl. Voss (2019) S. 330 f.).

Wichtig der dargestellten Prinzipien ist, dass Unternehmen die betroffene Person in ihre Ge­schäftstätigkeiten miteinbeziehen (vgl. Evequoz, Huamani, Ziegler (2019) S. 224). Das Un­terrichten von unternehmerischen Tätigkeiten führt dazu, dass Unternehmen das Vertrauen und die Zustimmung ihrer Kunden gewinnen. Diese Attribute sind aus wirtschaftlicher Sicht höchst relevant. Gesetzlich wird dies mit Artikel 13 der Informationspflicht und Artikel 15 dem Auskunftsrecht gesichert (vgl. Art.13 DSGVO). Aufgrund von Artikel 15 müssen Un­ternehmen auf Anfrage der betroffenen Person Auskunft, welche personenbezogene Daten gespeichert sind, erteilen. (Vgl. Art. 15 DGSVO). Weiterhin muss die betroffene Person über den Verarbeitungszweck, den Empfänger der Daten, die geplante Speicherdauer und über ihre Rechte, wie das Löschens, informiert werden (vgl. Art. 15 Absl. DSGVO). Mit Artikel 13 muss der Verantwortliche die betreffenden Person bereits zum Zeitpunkt der Erhebung über die Kontaktdaten des Verantwortlichen, den Zweck der Datenerhebung, die Interessen der Beteiligten sowie darüber wer die personenbezogen Daten erhält, unterrichten (vgl. Art. 13. DSGVO). Der Informationsbericht ist laut Artikel 12 Absatz 1:,, [...] [in] präziser, trans­parenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermittelnf...]“ (vgl. Art. 12 DSGVO). Dies könnte mit Hilfe von Visualisierungen der Datenschutzeinstellungen erfolgen. Die in Abbildung 1 dargestellten Visualisierungen hel­fen dem Verbraucher die Datenschutzerklärung nachzuvollziehen und das Verfahren der Er-hebung personenbezogener Daten zu überblicken.

[...]

¹ Der Verantwortliche istjede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

² Der Auftragsverarbeiter: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet

³ Die Folgeabschätzung : Dabei handelt es sich um die Pflicht für den Verantwortlichen, vor Beginn einer geplanten Datenverarbeitung eine Abschätzung der Folgen vorzunehmen und zu dokumentieren. Bei mehre­ren Verarbeitungsvorgängen kann die Untersuchung gebündelt vorgenommen werden.

⁴ Compliance Herausforderungen: Einhaltung von gesetzlichen Vorgaben und mit den seitens der Unterneh­men selbstauferlegten, internen Richtlinien.